Application Delivery Management

HDX Insight データ収集の有効化

HDX Insight は、NetScaler ADCインスタンスまたはCitrix SD-WANアプライアンスを通過するICAトラフィックをこれまでにないエンドツーエンドで可視化することで、NetScaler Application Delivery Management(ADM) Analyticsが卓越したユーザーエクスペリエンスを提供できるようにします。HDX Insight は、ネットワーク、仮想デスクトップ、アプリケーション、アプリケーションファブリックに対して、魅力的で強力なビジネスインテリジェンスと障害分析機能を提供します。HDX Insightはユーザーの問題を優先度によってすぐに選別すると同時に、仮想デスクトップ接続に関するデータを収集し、AppFlowレコードを生成して、それらをビジュアルレポートとして提示します。

NetScaler ADCでデータ収集を有効にする構成は、導入トポロジーにおけるアプライアンスの位置によって異なります。

LANユーザーモードで展開されたCitrix ADCを監視するためのデータ収集の有効化

Citrix 仮想アプリおよびデスクトップアプリケーションにアクセスする外部ユーザーは、NetScaler Gateway で自分自身を認証する必要があります。ただし、内部ユーザーはNetScaler Gateway にリダイレクトする必要がない場合があります。また、透過モードの展開では、管理者が手動でルーティングポリシーを適用して、要求がNetScaler ADC アプライアンスにリダイレクトされるようにする必要があります。

これらの課題を克服し、LANユーザーがCitrix Virtual AppおよびDesktopアプリケーションに直接接続できるようにするには、NetScaler GatewayアプライアンスでSOCKSプロキシとして機能するキャッシュリダイレクト仮想サーバーを構成することで、NetScaler ADCアプライアンスをLANユーザーモードで展開します。

LANユーザー・モードでADCを導入

注: NetScaler ADM とNetScaler Gateway アプライアンスは同じサブネットにあります。

このモードで展開されたNetScaler ADCアプライアンスを監視するには、まずNetScaler ADCアプライアンスをNetScaler Insightインベントリに追加し、AppFlowを有効にしてから、ダッシュボードでレポートを表示します。

NetScaler ADCアプライアンスをNetScaler ADM インベントリに追加した後、データ収集のためにAppFlow を有効にする必要があります。

  • ADCインスタンスで、[ システム]>[AppFlow]>[コレクタ]の順に選択し、コレクタ(NetScaler ADM)が起動しているかどうかを確認できます。NetScaler ADC インスタンスは、NSIPを使用してAppFlow レコードをNetScaler ADM に送信します。ただし、インスタンスはSNIPを使用してNetScaler ADM との接続を確認します。そのため、SNIP がインスタンスに設定されていることを確認してください。
  • NetScaler ADM構成ユーティリティを使用して、LANユーザーモードで展開されたNetScaler ADCでデータ収集を有効にすることはできません。
  • コマンドとその使用法について詳しくは、「コマンドリファレンス」を参照してください。
  • ポリシー式については、「ポリシーと式」を参照してください。

コマンドラインインターフェイスを使用してNetScaler ADC アプライアンスでデータ収集を構成するには:

コマンドプロンプトで、次の操作を行います:

  1. アプライアンスにログオンします。

  2. プロキシIPおよびポートを指定してフォワードプロキシキャッシュリダイレクト仮想サーバーを追加します。また、サービスタイプとしてHDXを指定します。

    add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>]
    <!--NeedCopy-->
    

    add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180
    <!--NeedCopy-->
    

    注: NetScaler Gateway アプライアンスを使用してLANネットワークにアクセスする場合は、VPNトラフィックと一致するポリシーによって適用されるアクションを追加してください。

    add vpn trafficAction <name> <qual> [-HDX ( ON or OFF )]
    
    add vpn trafficPolicy <name> <rule> <action>
    <!--NeedCopy-->
    

    add vpn trafficAction act1 tcp -HDX ON
    
    add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1
    <!--NeedCopy-->
    
  3. NetScaler ADMをAppFlow コレクタとしてNetScaler ADCアプライアンスに追加します。

    add appflow collector <name> -IPAddress <ip_addr>
    <!--NeedCopy-->
    

    Example:

    ``` add appflow collector MyInsight -IPAddress 192.168.1.101 ```

  4. AppFlow アクションを作成し、コレクタをアクションに関連付けます。

    add appflow action <name> -collectors <string>
    

    例:

    add appflow action act -collectors MyInsight
    
  5. AppFlow ポリシーを作成して、トラフィックを生成するためのルールを指定します。

    add appflow policy <policyname> <rule> <action>
    

    例:

    add appflow policy pol true act
    
  6. AppFlow ポリシーをグローバルバインドポイントにバインドします。

    bind appflow global <policyname> <priority> -type <type>
    

    例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    

    タイプの値は、ICAトラフィックに適用するには、ICA_REQ_OVERRIDEまたは ICA_REQ_DEFAULTである必要があります。

  7. AppFlow の flowRecordInterval パラメーターの値を 60 秒に設定します。

    set appflow param -flowRecordInterval 60
    

    例:

    set appflow param -flowRecordInterval 60
    
  8. 構成を保存します。種類:save ns config

シングルホップモードで展開されたNetScaler Gatewayアプライアンスのデータ収集を有効にする

NetScaler Gateway をシングルホップモードで展開すると、ネットワークのエッジになります。Gateway インスタンスは、デスクトップ配信インフラストラクチャへのプロキシ ICA 接続を提供します。シングルホップは、最も単純で最も一般的な導入方法です。シングルホップモードは、外部ユーザーが組織内の内部ネットワークにアクセスしようとした場合にセキュリティを確保します。 シングルホップモードでは、ユーザーは仮想プライベートネットワーク(VPN)を介してNetScaler ADCアプライアンスにアクセスします。

レポートの収集を開始するには、NetScaler GatewayアプライアンスをCitrix Application Delivery Management(ADM)インベントリに追加し、ADMでAppFlow を有効にする必要があります。

NetScaler ADM からAppFlow 機能を有効にするには:

  1. Webブラウザで、Citrix ADM IPアドレス(例: http://192.168.100.1)を入力します。

  2. [User Name][Password] に管理者の資格情報を入力します。

  3. [ ネットワーク ] > [ インスタンス] に移動し、分析を有効にするNetScaler ADC インスタンスを選択します。

  4. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  5. VPN 仮想サーバーを選択し、「 アナリティクスを有効にする」をクリックします。

  6. [ HDX Insight ] を選択し、次に [ ICA] を選択します。

  7. [OK] をクリックします。

シングルホップモードで AppFlow を有効にすると、次のコマンドがバックグラウンドで実行されます。トラブルシューティングのため、こちらにそのコマンドを明記します。

-  add appflow collector <name> -IPAddress <ip_addr>

-  add appflow action <name> -collectors <string>

-  set appflow param -flowRecordInterval <secs>

-  disable ns feature AppFlow

-  enable ns feature AppFlow

-  add appflow policy <name> <rule> <expression>

-  set appflow policy <name> -rule <expression>

-  bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>

-  set vpn vserver <name> -appflowLog ENABLED

-  save ns config

EUEM仮想チャネルデータは、NetScaler ADM がゲートウェイインスタンスから受信するHDX Insight データの一部です。EUEM仮想チャネルは、ICA RTTに関するデータを提供します。EUEM仮想チャネルが有効になっていない場合でも、残りのHDX Insight データはNetScaler ADM に表示されます。

ダブルホップモードで展開されたNetScaler Gatewayアプライアンスのデータ収集を有効にする

NetScaler Gateway のダブルホップモードでは、攻撃者が複数のセキュリティゾーンまたは非武装地帯(DMZ)に侵入してセキュアネットワークのサーバーに到達する必要があるため、組織の内部ネットワークをさらに保護できます。ICA接続が通過するホップ(NetScaler Gateway アプライアンス)の数と、各TCP接続のレイテンシーの詳細と、クライアントが認識するICAレイテンシーの合計とどのようにフェアーするかを分析する場合は、NetScaler ADMをインストールして、NetScaler Gatewayアプライアンスこれらの重要な統計を報告する。

分析を有効にする

最初のDMZのNetScaler Gateway は、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このNetScaler Gateway は、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワーク内のサーバーへのアクセスを制御します。

2つ目のDMZのNetScaler Gateway は、NetScaler Gateway プロキシデバイスとして機能します。このNetScaler Gateway により、ICAトラフィックが2番目のDMZを通過して、サーバーファームへのユーザー接続を完了できます。

NetScaler ADM は、最初のDMZのNetScaler Gatewayアプライアンスに属するサブネットか、2番目のDMZのNetScaler Gatewayアプライアンスに属するサブネットのいずれかに展開できます。上の画像では、最初のDMZのNetScaler ADMとNetScaler Gatewayが同じサブネットにデプロイされています。

ダブルホップモードでは、NetScaler ADM は1つのアプライアンスからTCPレコードを、もう1つのアプライアンスからICAレコードを収集します。NetScaler Gateway アプライアンスをNetScaler ADM インベントリに追加してデータ収集を有効にすると、各アプライアンスはホップカウントと接続チェーンIDを追跡してレポートをエクスポートします。

NetScaler ADMがレコードをエクスポートするアプライアンスを識別するために、各アプライアンスはホップ数で指定され、各接続は接続チェーンIDで指定されます。ホップカウントは、トラフィックがクライアントからサーバーに流れるNetScaler Gatewayアプライアンスの数を表します。接続チェーンIDは、クライアントとサーバー間のエンドツーエンド接続を表します。

NetScaler ADM は、ホップカウントと接続チェーンIDを使用して、両方のNetScaler Gatewayアプライアンスからのデータを相互に関連付け、レポートを生成します。

このモードで展開されているNetScaler Gateway アプライアンスを監視するには、まずNetScaler GatewayをNetScaler ADM インベントリに追加し、NetScaler ADMでAppFlow を有効にして、NetScaler ADMダッシュボードでレポートを表示する必要があります。

オプティマルゲートウェイに使用される仮想サーバーでのHDX Insightの設定

最適なゲートウェイで使用する仮想サーバーでHDX Insight を設定する手順:

  1. [ ネットワーク ] > [ インスタンス] に移動し、分析を有効にするNetScaler ADC インスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. 認証用に設定された VPN 仮想サーバーを選択し、「 Analytics を有効にする」をクリックします。

  4. [ HDX Insight ] を選択し、次に [ ICA] を選択します。

  5. 必要に応じて他の詳細オプションを選択します。

  6. [OK] をクリックします。

  7. 他のVPN仮想サーバーで手順3~6を繰り返します。

NetScaler ADMでのデータ収集の有効化

両方のアプライアンスからICA詳細の収集を開始するようにNetScaler ADM を有効にすると、収集された詳細情報は冗長になります。これは、両方のアプライアンスが同じ測定基準を報告するためです。この状況を解決するには、最初のNetScaler Gatewayアプライアンスの1つでAppFlow for ICAを有効にしてから、2番目のアプライアンスでAppFlow for TCPを有効にする必要があります。これにより、一方のアプライアンスがICA AppFlow レコードをエクスポートし、もう一方のアプライアンスがTCP AppFlowレコードをエクスポートします。これにより、ICAトラフィックを解析するときの処理時間も短縮されます。

NetScaler ADM からAppFlow 機能を有効にするには:

  1. Webブラウザで、Citrix ADM IPアドレス(例: http://192.168.100.1)を入力します。

  2. [User Name][Password] に管理者の資格情報を入力します。

  3. [ ネットワーク ] > [ インスタンス] に移動し、分析を有効にするNetScaler ADC インスタンスを選択します。

  4. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  5. VPN 仮想サーバーを選択し、「 アナリティクスを有効にする」をクリックします。

  6. HDX Insightを選択し** ICAトラフィックまたはTCPトラフィックにはそれぞれICAまたはTCPを選択します** 。

    NetScaler ADCアプライアンスのそれぞれのサービスまたはサービスグループでAppFlowロギングが有効になっていない場合、Insight列に「有効」と表示されていても、NetScaler ADM ダッシュボードにはレコードが表示されません。

  7. [OK] をクリックします。

データをエクスポートするためのNetScaler Gatewayアプライアンスの設定

NetScaler Gateway アプライアンスをインストールした後、NetScaler Gatewayアプライアンスで次の設定を構成して、レポートをNetScaler ADM にエクスポートする必要があります。

  • 第1および第2のDMZにあるNetScaler Gatewayアプライアンスの仮想サーバーが相互に通信するように構成します。

  • 2番目のDMZのNetScaler Gateway 仮想サーバーを、最初のDMZのNetScaler Gateway仮想サーバーにバインドします。

  • 2つ目のDMZでNetScaler Gateway でダブルホップを有効にします。

  • 2番目のDMZのNetScaler Gateway 仮想サーバーでの認証を無効にします。

  • いずれかのNetScaler GatewayアプライアンスでICAレコードをエクスポートできるようにします

  • 他のNetScaler GatewayアプライアンスがTCPレコードをエクスポートできるようにします。

  • 両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします。

コマンドラインインターフェイスを使用してNetScaler Gatewayを構成します。

  1. 最初のDMZのNetScaler Gateway 仮想サーバーが、2番目のDMZのNetScaler Gateway仮想サーバーと通信するように構成します。

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON or OFF)] [-imgGifToPng]
    
    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. 2番目のDMZのNetScaler Gateway 仮想サーバーを、最初のDMZのNetScaler Gateway仮想サーバーにバインドします。最初のDMZのNetScaler Gateway で次のコマンドを実行します。

    bind vpn vserver <name> -nextHopServer <name>
    
    bind vpn vserver vs1 -nextHopServer nh1
    
    
  3. 2つ目のDMZのNetScaler Gateway でダブルホップとAppFlow を有効にします。

    set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )]
    
    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. 2番目のDMZのNetScaler Gateway 仮想サーバーでの認証を無効にします。

    set vpn vserver <name> [-authentication (ON or OFF)]
    
    set vpn vserver vs -authentication OFF
    
  5. いずれかのNetScaler Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]
    
    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. 他のNetScaler Gateway アプライアンスでICAレコードをエクスポートできるようにします:

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]
    
    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. 両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします:

    set appFlow param [-connectionChaining (ENABLED or DISABLED)]
    
    set appflow param -connectionChaining ENABLED
    

構成ユーティリティを使用してNetScaler Gatewayを構成します。

  1. 最初のDMZのNetScaler Gateway を構成して、2番目のDMZのNetScaler Gateway と通信し、2番目のDMZのNetScaler Gatewayを最初のDMZのNetScaler Gatewayにバインドします。

    1. 構成]タブで[Citrix Gateway] を展開し、[仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [公開アプリケーション] を展開します。

    3. ネクストホップサーバー ]をクリックし、ネクストホップサーバーを2つ目のNetScaler Gateway アプライアンスにバインドします。

  2. 2つ目のDMZでNetScaler Gateway でダブルホップを有効にします。

    1. 構成 ]タブで[Citrix Gateway] を展開し、[仮想サーバー]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定 ] グループで編集アイコンをクリックします。

    3. さらに展開して「ダブルホップ」を選択し、「OK」をクリックします。

  3. 2番目のDMZのNetScaler Gateway上の仮想サーバーでの認証を無効にします。

    1. 「構成」タブで  Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定 ] グループで編集アイコンをクリックします。

    3. [その他] を展開し、[認証を有効にする] をオフにします

  4. いずれかのNetScaler Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    1. 「構成」タブで  Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. 「+」アイコンをクリックし、「ポリシーの選択 」リストから「AppFlow」を選択し、「 タイプの選択 」リストから「その他のTCP要求」を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  5. 他のNetScaler Gateway アプライアンスでICAレコードをエクスポートできるようにします:

    1. 「構成」タブで  Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のペインで仮想サーバーをダブルクリックし、[詳細設定 ] グループで [ポリシー] を展開します。

    3. 「+」アイコンをクリックし、「ポリシーの選択」リストから「AppFlow」を選択し、「タイプの選択」リストから「その他の TCP リクエスト」を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  6. 両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします。

    1. [Configuration]タブで、[System]>[Appflow]の順に選択します。

    2. 右側のペインの [設定 ] グループで、[Appflow 設定の変更] をダブルクリックします。

    3. [Connection Chaining]を選択し、[OK]をクリックします。

  7. 最初のDMZのNetScaler Gateway を構成して、2番目のDMZのNetScaler Gateway と通信し、2番目のDMZのNetScaler Gatewayを最初のDMZのNetScaler Gatewayにバインドします。

    1. [構成]タブで[NetScaler Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、「詳細設定」グループで「 公開 アプリケーション」を展開 します。

    3. ネクストホップサーバー]をクリックし、ネクストホップサーバーを2番目のNetScaler Gatewayアプライアンスにバインドします。

  8. 2つ目のDMZでNetScaler Gateway でダブルホップを有効にします。

    1. [構成]タブで[NetScaler Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定] グループで編集アイコンをクリックします。

    3. 「その他」を展開して「ダブルホップ」を選択し、「OK」をクリックします。

  9. 2番目のDMZのNetScaler Gateway上の仮想サーバーでの認証を無効にします。

    1. 「構成」タブで 「 Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定] グループで編集アイコンをクリックします。

    3. [その他] を展開し、[認証を有効にする] をオフにします

  10. いずれかのNetScaler Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    1. [構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. +」アイコンをクリックし、「ポリシーの選択」リストから「AppFlow」を選択し、「 タイプの選択 」リストから「その他のTCP要求」を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  11. 他のNetScaler GatewayアプライアンスがICAレコードをエクスポートできるようにします。

    1. [構成]タブで[NetScaler Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[詳細設定] グループで [ ポリシー] を展開 します。

    3. +」アイコンをクリックし、「ポリシーの選択」リストから「AppFlow」を選択し、「 タイプの選択」リストから「その他のTCP要求」を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  12. 両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします。

透過モードで展開されたNetScaler ADCを監視するためのデータ収集を有効にする

NetScaler ADC を透過モードで展開すると、クライアントは仮想サーバーを介さず、直接サーバーにアクセスできます。NetScaler ADCアプライアンスがCitrix Virtual Apps and Desktop環境にトランスペアレントモードで展開されている場合、ICAトラフィックはVPN経由で送信されません。

NetScaler ADCをNetScaler ADM インベントリに追加した後、データ収集のためにAppFlow を有効にする必要があります。データ収集を有効にできるかどうかは、デバイスとモードによって決まります。その場合は、NetScaler ADMをAppFlow コレクタとして各NetScaler ADCアプライアンスに追加する必要があります。また、AppFlow ポリシーを構成して、アプライアンスを通過するすべてのICAトラフィックまたは特定のICAトラフィックを収集する必要があります。

  • NetScaler ADM構成ユーティリティを使用して、透過モードで展開されたNetScaler ADCでデータ収集を有効にすることはできません。
  • コマンドとその使用法について詳しくは、「コマンドリファレンス」を参照してください。
  • ポリシー式については、「ポリシーと式」を参照してください。

次の図は、NetScaler ADCが透過モードで展開された場合のNetScaler ADMのネットワーク展開を示しています。

透過モード

コマンドラインインターフェイスを使用してNetScaler ADC アプライアンスでデータ収集を構成するには:

コマンドプロンプトで、次の操作を行います:

  1. アプライアンスにログオンします。

  2. NetScaler ADCアプライアンスがトラフィックをリッスンするICAポートを指定します。

    set ns param --icaPorts <port>...
    

    例:

    set ns param -icaPorts 2598 1494
    

    • このコマンドでは、最大10個のポートを指定できます。
    • デフォルトのポート番号は2598です。ポート番号は、必要に応じて変更できます。
  3. NetScaler ADCアプライアンスで、NetScaler Insight Center をAppFlow コレクタとして追加します。

    add appflow collector <name> -IPAddress <ip_addr>
    

    例:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    

    注: NetScaler ADCアプライアンスで構成されたAppFlowコレクタを表示するには、show appflow コレクタコマンドを使用します

  4. AppFlow アクションを作成し、コレクタをアクションに関連付けます。

    add appflow action <name> -collectors <string> ...
    

    例:

    AppFlow アクションアクションコレクターを追加する MyInsight

  5. AppFlow ポリシーを作成して、トラフィックを生成するためのルールを指定します。

    add appflow policy <policyname> <rule> <action>
    

    例:

    add appflow policy pol true act
    
  6. AppFlow ポリシーをグローバルバインドポイントにバインドします。

    bind appflow global <policyname> <priority> -type <type>
    

    例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    

    ICA トラフィックに適用するには、TYPE の値は ICA_REQ_OVERRIDE または ICA_REQ_DEFAULT である必要があります。

  7. AppFlow の flowRecordInterval パラメーターの値を 60 秒に設定します。

    set appflow param -flowRecordInterval 60
    

    例:

    set appflow param -flowRecordInterval 60
    
  8. 構成を保存します。種類:save ns config ```